catch-img

個人情報 管理対策の実践


目次[非表示]

  1. 1.キャンペーン実施における個人情報とは
  2. 2.応募者から取得する個人情報の項目
  3. 3.個人情報保護のために必要なルール
    1. 3.1.①「取得・利用」に関するルール
    2. 3.2.②「保管」に関するルール
      1. 3.2.1.・個人情報の管理責任者を立てる
      2. 3.2.2.・紙類、記憶媒体(CDR等)は鍵付きのロッカーで保管する
      3. 3.2.3.・個人情報の利用者(従業員)に対して、十分な教育・監督を行う
      4. 3.2.4.・利用者を限定する
      5. 3.2.5.・PC、サーバにウィルス対策ソフトを入れる
    3. 3.3.③「転送」に関するルール
  4. 4.大切なお客様情報、廃棄まで気を抜かない!
  5. 5.今回のまとめ


キャンペーン実施における個人情報とは

年々その関心と保護意識が高まっている個人情報。

個人情報を事細かく解説すれば、個人情報保護法、条項、ガイドライン等。

てんこ盛りで壮大な論文みたく、すごく食べづらいコラムに仕上がるので(正直読むのが苦)、今回はあくまで“キャンペーンで取得する個人情報と、管理対策のポイント”に焦点を当ててご紹介します。


応募者から取得する個人情報の項目

キャンペーンの事務局運営にあたって、取得する個人情報にはどのようなものがあるでしょうか。

応募ハガキやWebフォームにある記入内容は、主に以下のような項目かと思います。

-------------------------------------------------------------------------

・郵便番号

・住所

・氏名

・年齢

・性別

・メールアドレス

・会員番号

-------------------------------------------------------------------------

尚、個人情報保護法では、個人情報を以下のように定義しています。



先に挙げた応募情報たちは、まさに上記で言うところの「特定の個人を識別」できるものです。

また、ポイントサービス等で発行された会員番号は、会員番号と登録情報(氏名、住所、電話番号等)がデータベースで管理され、個人を特定できる場合には、個人情報として取り扱う必要があります。


個人情報保護のために必要なルール

では、取得した個人情報を適切に保護するために、どのようなルールが必要なのでしょうか。

主なものをご紹介します。


①「取得・利用」に関するルール

キャンペーンで個人情報を取得するにあたって、まず気を付けないといけないのは、利用目的を応募者本人に通知または公表することです。

お客様の重要な情報を何に使うのか、を明確に伝えておく必要があるのです。

例えば、告知ツールとなる応募ハガキやWebサイト(またはWebフォーム)には、注意書きとして、


例)


といった、お客様と利用目的を約束する一文が必要です。

また、これを明示することは、約束した目的以外には使用しない、という事でもあります。


前述の例のように公表しておきながら、取得した個人情報を用いて、商品宣伝のメルマガを送る、郵送で新商品のサンプルを送る等の行為はNGなのでご注意を。

仮に、予め通知・公表した利用目的以外の用途で個人情報を使用する場合には、改めてお客様に通知または公表する必要があります。


②「保管」に関するルール

個人情報を取得した後は、当然ながら情報漏洩が生じないように管理する必要があります。

キャンペーンの実施からクロージングまで、

事故なく安全に事務局運営を行うためには、ここが最も肝心です。


万が一、情報漏洩した場合には、社会的信用が失墜、企業経営をも脅かされて…、そのダメージは想像に難くありません。

そうならないために施すべき措置としては、例えば以下のような事が挙げられます。

-------------------------------------------------------------------------

・個人情報の管理責任者を立てる

・紙類、記憶媒体(CDR等)は鍵付きのロッカーで保管する

 ⇒持ち出し日時/氏名を記録し、追跡可能な証跡を残す

 ⇒個人情報を取り扱う執務室への入退室自体を制限、管理する

・個人情報の利用者(従業員)に対して、十分な教育・監督を行う

 ⇒守秘義務について告知し、誓約書を取り交わす

    ⇒取り扱い手順を作成し、遵守させる

・利用者を限定する

 ⇒電子ファイルにパスワードを設定し、利用者のみに告知する

  (従事者以外が電子ファイルを見られないようにする)

 ⇒管理サーバのアクセスログを記録する

・PC、サーバにウィルス対策ソフトを入れる

-------------------------------------------------------------------------


上記は一例ですが、安全に情報を管理するには、モノ(機器)に講じる対策はもちろんのこと、実際に情報を取り扱うヒトへの教育、訓練、手順化といった仕組み作りが重要です。

また、考えたくはないですが、情報漏洩、紛失等が発生した場合に備えて、予め緊急時の対応手順、具体的な指揮・連絡体制を構築しておく必要もあります。


因みに、個人情報に係る業務を外部委託する場合には、プライバシーマークやISMS(ISO27001)の第三者認証を取得している企業を選定し、かつ実態的に適切なルールと運営体制があるかを、十分に確認することをおすすめします。


③「転送」に関するルール

事務局では業務進行上、保管する個人情報を第三者(社外)に渡す場面もあり得ますよね。

例えば、収集した応募データで抽選をして、当選者の郵便番号、住所、氏名等を賞品発送業者に提供する、等がそのケースです。

個人情報の受け渡しに際しては、以下のような対応が得策です。

-------------------------------------------------------------------------

●外部記録媒体に暗号化したデータを格納し、集荷~配達完了までがトレース可能な配送業者のセキュリティ便を利用する

●いつ、だれが、だれに、何を、どのようにして、といった授受の証跡を記録する

-------------------------------------------------------------------------

物理的移送のほかには、クラウド型のストレージサービスの利用が挙げられますが、誤送信防止や自動暗号化などの機能を十分に確認した上で、利用サービスを選定する必要があります。

尚、メールでの引き渡しは、誤送信のリスクが残るため極力避けましょう


大切なお客様情報、廃棄まで気を抜かない!

個人情報に利用目的を果たし、キャンペーンが終了した後には最後の仕上げ、廃棄です。

主な廃棄方法として以下が挙げられます。

-------------------------------------------------------------------------

・応募ハガキ等の紙媒体… シュレッダーで破砕、その後溶解処理

・CDR等の記録媒体… シュレッダーで破砕

・電子ファイル… データ抹消専用ソフトでの抹消

-------------------------------------------------------------------------

紙媒体の廃棄証明書、データの抹消証明書等のエビデンスは必ず残しましょう。

各証明書には、廃棄対象の内容・数量(容量)、実行日時、実施担当者等を記し、廃棄現場の風景写真があれば尚良いでしょう。


エビデンスは、「お客様からお預かりした個人情報の一切を廃棄し、残留していない」ことの証拠であり、万が一の開示請求にも対応できるように一定期間保管しましょう。


今回のまとめ

・保護すべき個人情報を理解する

・利用目的を定め、取得前に本人に告知する

・保護のために十分な運用ルールを策定する

・業務工程ごとに対策を講じる

・適切な方法を以って廃棄し、証明記録を残す


個人情報の管理で重要なのは、ヒト・モノにおけるセキュリティ対策はもとより、運用においては、いつ、どこで、誰が、何のために、どのように利用したか、というトレーサビリティ(追跡可能性)を担保する事が大切です。

これを確実に実施、記録することで、適切な取り扱いを可視化できますし、トラブルが生じた時にも原因究明、あるいはリカバリーの範囲を限定でき、早期の対応が可能となります。



といったお悩みがあれば、ぜひお声がけください!

当社ではISO27001(ISMS:情報セキュリティマネジメントシステム)の登録認証を取得し、お預かりした個人情報を管理しています。

これまで13年間、多数のキャンペーン事務局を運営代行して、事故は0件!

セキュアな運営体制で、キャンペーン業務をご支援します。





人気記事ランキング

カテゴリ一覧

タグ一覧